Google ha desmantelado una de las mayores redes de abuso digital detectadas hasta la fecha, formada por más de 9 millones de móviles Android zombis utilizados para retransmitir grandes volúmenes de datos sin que sus propietarios lo supieran. La infraestructura llevaba años operando de forma silenciosa y aprovechaba aplicaciones aparentemente legítimas para convertir los dispositivos en nodos de salida de una red proxy global.
La investigación fue llevada a cabo por el Grupo de Análisis de Amenazas de Google, que detectó patrones de tráfico anómalos imposibles de asociar a malware tradicional.
Cómo operaba la red que convertía Android en dispositivos zombis
A diferencia de otros ataques clásicos, esta campaña no utilizaba virus ni troyanos visibles. La empresa china IPIDEA integraba su propio SDK en aplicaciones comunes como juegos gratuitos, utilidades o apps de productividad. En total, se estima que más de 600 aplicaciones incluían este componente.
Una vez instalada una de estas apps, el móvil pasaba a formar parte de la red sin mostrar síntomas evidentes. El sistema aprovechaba permisos estándar de Android para actuar como intermediario en la transmisión de datos de terceros, ocultando el origen real del tráfico.
Por qué los móviles Android zombis eran tan difíciles de detectar
Uno de los factores más preocupantes es que los móviles Android zombis utilizaban direcciones IP residenciales legítimas. Esto hacía que el tráfico pareciera normal a simple vista, aunque los volúmenes de datos enviados no coincidían con el uso habitual de un smartphone.
Solo el análisis de grandes cantidades de tráfico saliente permitió a Google identificar el patrón distribuido que sostenía la red.
Riesgos reales para usuarios y empresas
Aunque muchos usuarios no notaron fallos visibles, este tipo de redes supone un riesgo elevado:
- Uso de dispositivos para ataques DDoS
- Exposición indirecta a actividades ilegales
- Consumo oculto de datos y recursos
- Pérdida de control sobre la conexión
Además, se confirmó que en 2025 la infraestructura fue comprometida por terceros, que la utilizaron para lanzar ataques coordinados a escala global.
Qué medidas ha tomado Google y cómo protegerse
Google obtuvo una orden judicial para desconectar los dominios y servidores asociados a IPIDEA, desmantelando por completo la red. Además, Google Play Protect ya es capaz de detectar y bloquear este tipo de SDK maliciosos en aplicaciones distribuidas desde la tienda oficial.
No obstante, el riesgo sigue existiendo fuera de Google Play. La principal recomendación es:
- Instalar aplicaciones solo desde tiendas oficiales
- Revisar permisos antes de aceptar una app
- Desconfiar de apps simples que solicitan acceso excesivo
- Mantener Android y Google Play Protect actualizados
La prevención sigue siendo la mejor defensa frente a este tipo de abusos silenciosos.
👉 Más información sobre nuestros servicios profesionales de ciberseguridad:
https://ghmsolucionesinformaticas.es/ciberseguridad/
Para alertas oficiales y avisos de seguridad:
https://www.incibe.es
